Effectieve applicatiebeveiliging: het belang van samenwerking
18 november 2016 -
In de huidige digitale economie is applicatiebeveiliging belangrijker dan ooit. Het effectief beveiligen van programmatuur gaat echter niet vanzelf.
Het vraagt om een gezamenlijke inspanning tussen alle beslissingsbevoegde partijen binnen een organisatie, stelt Richard Dobber, VP Sales EMEA bij WhiteHat Security.
Effectieve informatiebeveiliging
Effectieve informatiebeveiliging vraagt om de betrokkenheid van iedereen binnen de organisatie. Diverse teams moeten met elkaar samenwerken. Het is belangrijk dat de juiste informatie van boven naar beneden wordt gecommuniceerd en vice versa, maar dat is vaak eenvoudiger gezegd dan gedaan. Dobber legt uit: "Nu bedrijven steeds meer online zakendoen, groeien kwetsbaarheden in de beveiliging van internetapplicaties uit tot een serieus probleem. Als deze gaten in de beveiliging niet snel worden gedicht, kan dit resulteren in onder andere imagoverlies, niet accepteren van bestaande of nieuwe klanten en aanvallen om promoties te blokkeren en gedurende de feestperiodes, zoals Kerst, de website volledig onbereikbaar te maken. In veel gevallen staat een niet gestroomlijnde samenwerking tussen website verantwoordelijke en beslissingsbevoegde partijen de ontwikkeling en toepassing van efficiënte beveiligingspraktijken in de weg."
Kwetsbaarheden webshops
Helaas bevatten de meeste websites kwetsbaarheden. Dobber: "Uit onderzoek is gebleken dat beveiligingslekken met een kritiek karakter gemiddeld pas na 300 dagen worden verholpen. Cybercriminelen hebben dus volop de tijd om kwetsbaarheden te vinden en er misbruik van te maken. Dat is geen prettig vooruitzicht."
De vraag is nu hoe de drie belangrijkste verantwoordelijke partijen (managers, beveiligingsprofessionals en DevOps) effectiever kunnen samenwerken om te voorkomen dat hun organisatie het zoveelste slachtoffer wordt van cybercriminelen.
Managers
Managers van bedrijven in alle sectoren moeten helaas onder ogen zien dat een groot aantal van hun bedrijfsapplicaties de meeste tijd vatbaar zijn voor cyberaanvallen. Zo constateerden de onderzoekers van WhiteHat Security dat ruim de helft van alle websites van winkelketens permanent kwetsbaar is. Elke website bleek gemiddeld 23 unieke kwetsbaarheden te bevatten. "Managers denken vaak dat het een dure aangelegenheid is om gaten in de beveiliging van internetapplicaties te vinden en te dichten, en dat de kosten niet opwegen tegen de risico’s. Dat is waanzin. De meeste kwetsbaarheden kunnen bedrijven blootstellen aan gegevensverlies, omzetverlies, reputatieverlies en daardoor klantenverlies en marktwaarde."
Managers bevinden zich in een ideale positie om verandering te brengen in de manier waarop het beveiligings-team en het development-team programmatuur benaderen, vindt Dobber. Of software nu in eigen beheer wordt ontwikkeld, aangekocht of uitbesteed aan externe ontwikkelaars, bijna alle applicaties worden geïmplementeerd met het oog op snelle resultaten en een korte time-to-market. "Toch hebben zelfs de meest efficiënte ICT-teams tijd nodig om nieuwe software op juiste wijze te integreren. Als daar onvoldoende aandacht aan wordt besteed, lopen ze het risico om nieuwe beveiligingslekken te introduceren met hetzelfde tempo waarmee ze oude kwetsbaarheden verhelpen."
Grip op beveiliging
Managers moeten volgens Dobber grip zien te krijgen op de beveiliging van het volledige applicatielandschap. Een van de beste manieren om dit te doen is om gebruik te maken van analysefunctionaliteit die in kaart brengt welke bedrijfkritische applicaties in welke volgorde van prioriteit moeten worden beveiligd. Ze moeten de interne beveiligingsmedewerkers vervolgens voorzien van tools die het mogelijk maken om tijdig kwetsbaarheden te identificeren en ontwikkelaars verantwoordelijkheid geven voor de applicatiebeveiliging alvorens zij een project afsluiten."
Beveiligingsmedewerkers
Elk beveiligingsteam weet dat programma’s voor applicatiebeveiliging maar zelden honderd procent effectief zijn. Beveiligingsmedewerkers zouden daarom een branchepercentage voor het verhelpen van kwetsbaarheden moeten gebruiken als ijkpunt voor hun beveiligingsaanpak, en vervolgens dat percentage gaandeweg opvoeren.
Dit zal echter niet zonder slag of stoot verlopen, meent Dobber. Want hoewel zij de hoeders van de beveiliging zijn, hebben beveiligingsteams vaak weinig of geen zeggenschap over de kwaliteit van de beveiliging van de internetapplicaties die worden ontwikkeld. Ze zouden echter moeten fungeren als spil in het hele ontwikkelingsproces, van het programmeren tot de productie. Door hun expertise met het analyseren van de beveiliging van applicaties aan te bieden kunnen ze zich opwerpen als belangrijke partner voor ontwikkelaars die voor de opgave staan om kwalitatief hoogwaardige en veilige programmatuur af te leveren. Software beveiligingsmedewerkers moeten daarnaast tijd vrijmaken om managers optimaal te informeren tijdens het ontwikkelingsproces. Daarmee kunnen ze de eisen van het management beter coördineren om ervoor zorgen dat de overeengekomen planningen worden behaald in de gegeven tijdspanne. Tevens is het wenselijk dat de CISO een business case opstelt voor de inzet van tools die het bewijs kunnen leveren voor de noodzaak om ontwikkelaars en managers intensief te betrekken bij veilige programmeerpraktijken.
DevOps
Het DevOps-team heeft het niet makkelijk als het om applicatiebeveiliging gaat. Tijdens het ontwikkelingsproces is er zelden praktisch inzetbare informatie over kwetsbaarheden beschikbaar. Hierdoor komen beveiligingslekken in applicaties nauwelijks aan het licht tijdens het programmeerstadium. Sommige kwetsbaarheden worden zelfs pas ontdekt nadat de applicatie live is gegaan. Dobber: "Het controleren op kwetsbaarheden in aanloop naar het in productie nemen of op de markt uitbrengen van software vindt simpelweg veel te laat plaats. Vaak is dit te wijten aan tijdsbeperkingen ten aanzien van de ontwikkeling en implementatie die door het management worden opgelegd."
Nauw overleg
Dobber stelt, dat DevOps-teams nauw overleg moeten plegen met software beveiligingsmedewerkers en managers om voldoende tijd voor het controleren op kwetsbaarheden in te bouwen in de complete ontwikkelingscyclus. Overstappen op een proces van voortdurende integratie kan hierbij uitkomst bieden, evenals het scannen van broncode en dynamisch scannen tijdens de ontwikkelings- en implementatiefase. DevOps kan een positieve bijdrage leveren door het management er van te doordringen dat er beter meer aandacht aan kwetsbaarheden tijdens de ontwikkelingsfase kan worden besteed dan aan het oplossen ervan na introductie van een website. Dit is echter alleen mogelijk als zowel DevOps als het beveiligingsteam met het management een uniforme aanpak overeenkomt.
Communicatie is de sleutel tot succes
Effectieve applicatiebeveiliging vraagt om een gezamenlijke inspanning van betrokken en beslissingsbevoegde partijen binnen de organisatie. En dat is niet altijd even makkelijk. Inzicht verwerven in de verschillende uitdagingen en drijfveren binnen de onderneming kan echter een hoop goed doen. "Of er nu sprake is van zorgen over de bedrijfscontinuïteit op managementniveau of zorgen rond de implementatietijd en kwaliteitscontrole binnen development-teams, het vinden van de juiste balans door middel van effectieve communicatie is de sleutel tot succes."
